Modèles d'accès à un cluster ElastiCache dans un Amazon VPC - Amazon ElastiCache for Redis

Modèles d'accès à un cluster ElastiCache dans un Amazon VPC

Amazon ElastiCache prend en charge les scénarios suivants pour accéder à un cluster dans un Amazon VPC :

Accès à un cluster ElastiCache lorsque ce dernier et l'instance Amazon EC2 se trouvent dans le même Amazon VPC

Le cas d'utilisation le plus courant concerne une application déployée sur une instance EC2 qui doit se connecter à un cluster du même VPC.

Le schéma suivant illustre ce scénario

Image : Diagramme illustrant une application et ElastiCache dans un même VPC

La solution la plus simple pour gérer l'accès entre les instances EC2 et les clusters du même VPC consiste à agir ainsi :

  1. Créez un groupe de sécurité VPC pour votre cluster. Ce groupe de sécurité peut être utilisé pour restreindre l'accès aux instances de cluster. Par exemple, vous pouvez créer une règle personnalisée pour ce groupe de sécurité, qui autorise l'accès TCP à l'aide du port que vous avez attribué au cluster lorsque vous l'avez créé et une adresse IP que vous utiliserez pour accéder au cluster.

    Le port par défaut des clusters et des groupes de réplication Redis est 6379.

  2. Créez un groupe de sécurité VPC pour vos instances EC2 (serveurs web et d'application). Ce groupe de sécurité peut, si nécessaire, autoriser l'accès à l'instance EC2 à partir d'Internet via la table de routage du VPC. Par exemple, vous pouvez définir des règles sur ce groupe de sécurité pour autoriser l'accès TCP à l'instance EC2 sur le port 22.

  3. Créez des règles personnalisées dans le groupe de sécurité pour votre cluster qui autorisent les connexions depuis le groupe de sécurité que vous avez créé pour vos instances EC2. N'importe quel membre du groupe de sécurité peut ainsi accéder aux clusters.

Note

Si vous envisagez d'utiliser Local Zones, vérifiez que vous les avez activées. Lorsque vous créez un groupe de sous-réseaux dans cette zone locale, votre VPC est étendu à cette zone locale et votre VPC traitera le sous-réseau comme n'importe quel sous-réseau dans n'importe quelle autre zone de disponibilité. Toutes les passerelles et les tables de routage pertinentes seront automatiquement ajustées.

Pour créer une règle dans un groupe de sécurité VPC qui autorise les connexions à partir d'un autre groupe de sécurité

  1. Connectez-vous à la Console de gestion AWS et ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.

  2. Dans le panneau de navigation, choisissez Groupes de sécurité.

  3. Sélectionnez ou créez un groupe de sécurité que vous utiliserez pour vos instances cluster. Sous Règles entrantes, sélectionnez Modifier les règles entrantes, puis Ajouter une règle. Ce groupe de sécurité autorisera l'accès aux membres d'un autre groupe de sécurité.

  4. Dans Type, choisissez Règle TCP personnalisée.

    1. Pour Plage de ports, spécifiez le port utilisé lors de la création de votre cluster.

      Le port par défaut des clusters et des groupes de réplication Redis est 6379.

    2. Dans le champ Source, saisissez l'ID de votre groupe de sécurité. Dans la liste, sélectionnez le groupe de sécurité que vous utiliserez pour vos instances Amazon EC2.

  5. Choisissez Enregistrer lorsque vous avez terminé.

    Image : écran pour modifier la règle VPC entrante

Accès à un cluster ElastiCache lorsque ce dernier et l'instance Amazon EC2 se trouvent dans des Amazon VPC différents

Quand votre cluster se trouve dans un VPC différent de l'instance EC2 que vous utilisez pour y accéder, il existe plusieurs moyens d'accéder au cluster. Si le cluster et l'instance EC2 se trouvent dans des VPC différents, mais dans la même région, vous pouvez utiliser l'appairage VPC. Si le cluster et l'instance EC2 se trouvent dans des régions différentes, vous pouvez créer une connectivité VPN entre les régions.

 

Accès à un cluster ElastiCache lorsque ce dernier et l'instance Amazon EC2 se trouvent dans des Amazon VPC différents de la même région

Le schéma suivant illustre l'accès à un cluster par une instance Amazon EC2 dans un Amazon VPC différent de la même région à l'aide d'une connexion d'appairage d'Amazon VPC.

Image : Diagramme illustrant une application et ElastiCache dans des VPC différents de la même région

Cluster auquel accède une instance Amazon EC2 dans un Amazon VPC différent de la même région – Connexion d'appairage de VPC

Une connexion d'appairage de VPC est une connexion de mise en réseau entre deux VPC qui permet de router le trafic entre ces derniers à l'aide d'adresses IP privées. Les instances des deux VPC peuvent communiquer entre elles comme si elles se trouvaient dans le même réseau. Vous pouvez créer une connexion d'appairage de VPC entre vos propres Amazon VPC, ou avec un Amazon VPC situé dans un autre compte AWS au sein d'une même région. Pour en savoir plus sur l'appairage d'Amazon VPC, veuillez consulter la documentation VPC.

Pour accéder à un cluster dans un Amazon VPC différent via l'appairage

  1. Veillez à ce que les plages IP des deux VPC ne se chevauchent pas ou vous ne pourrez pas les appairer.

  2. Appairez les deux VPC. Pour de plus amples informations, veuillez consulter Création et acceptation d'une connexion d'appairage d'Amazon VPC.

  3. Mettez à jour votre table de routage. Pour de plus amples informations, veuillez consulter Mise à jour de vos tables de routage pour une connexion d'appairage de VPC.

    Voici à quoi ressemble les tables de routage pour l'exemple du schéma précédent. Notez que pcx-a894f1c1 correspond à la connexion d'appairage.

    Image : capture d'écran d'une table de routage VPC

    Table de routage VPC

  4. Modifiez le groupe de sécurité de votre cluster ElastiCache pour autoriser une connexion entrante à partir du groupe de sécurité de l'application dans le VPC appairé. Pour de plus amples informations, veuillez consulter Référencer des groupes de sécurité du VPC pair.

L'accès à un cluster sur une connexion d'appairage entraînera des frais de transfert de données supplémentaires.

Utilisation de Transit Gateway

Une Transit Gateway vous permet d'attacher des VPC et des connexions VPN dans la même région AWS et d'acheminer le trafic entre eux. Une Transit Gateway fonctionne sur de multiples comptes AWS et vous pouvez utiliser AWS Resource Access Manager pour partager votre passerelle de transit avec d'autres comptes. Après que vous avez partagé une passerelle de transit avec un autre compte AWS, le propriétaire du compte peut attacher ses VPC à votre passerelle de transit. Un utilisateur de l'un des comptes peut supprimer l'attachement à tout moment.

Vous pouvez activer la multidiffusion sur une passerelle de transit, puis créer un domaine multidiffusion de passerelle de transit qui autorise l'envoi du trafic multidiffusion à partir de votre source multidiffusion vers des membres de groupe multidiffusion sur des attachements de VPC que vous associez au domaine.

Vous pouvez également créer un attachement de connexion d'appairage entre les passerelles de transit dans différentes régions AWS. Cela vous permet d'acheminer le trafic entre les attachements des passerelles de transit dans différentes régions.

Pour plus d'informations, consultez Passerelles de transit.

Accès à un cluster ElastiCache lorsque ce dernier et l'instance Amazon EC2 se trouvent dans des Amazon VPC différents de régions différentes

Utilisation de VPC en transit

Une alternative à l'utilisation de l'appairage de VPC, une autre stratégie courante pour connecter plusieurs VPC situés dans différentes zones géographiques et réseaux distants consiste à créer un VPC en transit faisant office de centre de transit dans le réseau mondial. Un VPC en transit simplifie la gestion du réseau et limite le nombre de connexions requises pour connecter plusieurs VPC et réseaux distants. Cette structure permet de gagner du temps et de l'énergie, ainsi que de réduire les coûts. Elle est en effet implémentée virtuellement et évite donc les dépenses traditionnelles liées à l'implantation physique dans un hub de transit de colocalisation ou au déploiement d'un matériel réseau physique.

Image : Diagramme illustrant les connexions sur différents VPC de différentes régions

Connexion sur différents VPC de différentes régions

Lorsque l’Amazon VPC en transit est établi, une application déployée dans un VPC en étoile d'une région peut se connecter à un cluster ElastiCache dans un VPC en étoile d'une autre région.

Pour accéder à un cluster dans un VPC différent d'une région AWS différente

  1. Déployez une solution VPC de transit. Pour plus d'informations, veuillez consulter AWS Transit Gateway.

  2. Mettez à jour les tables de routage VPC dans l'application et mettez en cache les VPC pour acheminer le trafic via la passerelle réseau privé virtuel et l'appliance VPN. En cas de routage dynamique avec le BGP (Border Gateway Protocol), vos routes peuvent être automatiquement propagées.

  3. Modifiez le groupe de sécurité de votre cluster ElastiCache pour autoriser une connexion entrante à partir de la page IP des instances de l'application. Notez que vous ne pourrez pas référencer le groupe de sécurité du serveur de l'application dans ce scénario.

Le fait d'accéder à un cluster d'une région à une autre entraînera des latences réseau et des frais de transfert de données entre régions supplémentaires.

Accès à un cluster ElastiCache à partir d'une application en cours d'exécution dans le centre de données d'un client

Une architecture hybride est un autre scénario possible dans lequel des clients ou des applications du centre de données du client peuvent avoir besoin d'accéder à un cluster ElastiCache du VPC. Ce scénario est également pris en charge, à condition qu'une connectivité existe entre le VPC d'un client et le centre de données, via un VPN ou via Direct Connect.

 

Accès à un cluster ElastiCache à partir d'une application en cours d'exécution dans le centre de données d'un client via une connectivité VPN

Le diagramme suivant illustre l'accès à un cluster ElastiCache à partir d'une application s'exécutant dans le réseau de votre entreprise à l'aide de connexions VPN.

Image : Diagramme illustrant la connexion à ElastiCache à partir de votre centre de données via un VPN

Connexion à ElastiCache à partir de votre centre de données via un VPN

Pour accéder à un cluster dans un VPC à partir d'une application sur site via une connexion VPN

  1. Etablissez une connectivité VPN en ajoutant une passerelle réseau privé virtuel Hardware vers votre VPC. Pour de plus amples informations, veuillez consulter Ajout d'une passerelle réseau privé virtuel Hardware à votre VPC.

  2. Mettez à jour la table de routage VPC pour le sous-réseau dans lequel votre cluster ElastiCache est déployé pour autoriser le trafic depuis votre serveur d'application sur site. En cas de routage dynamique avec le BGP (Border Gateway Protocol), vos routes peuvent être automatiquement propagées.

  3. Modifiez le groupe de sécurité de votre cluster ElastiCache pour autoriser une connexion entrante depuis les serveurs d'application sur site.

Le fait d'accéder à un cluster via une connexion VPN entraînera des latences réseau et des frais de transfert de données supplémentaires.

 

Accès à un cluster ElastiCache à partir d'une application en cours d'exécution dans le centre de données d'un client via Direct Connect

Le diagramme suivant illustre l'accès à un cluster ElastiCache à partir d'une application s'exécutant sur le réseau de votre entreprise à l'aide de Direct Connect.

Image : Diagramme illustrant la connexion à ElastiCache à partir de votre centre de données via Direct Connect

Connexion à ElastiCache à partir de votre centre de données via Direct Connect

Pour accéder à un cluster ElastiCache à partir d'une application en cours d'exécution dans votre réseau via Direct Connect

  1. Etablissez une connectivité Direct Connect. Pour de plus amples informations, veuillez consulter Mise en route avec AWS Direct Connect.

  2. Modifiez le groupe de sécurité de votre cluster ElastiCache pour autoriser une connexion entrante depuis les serveurs d'application sur site.

Le fait d'accéder à un cluster via une connexion DX peut entraîner des latences réseau et des frais de transfert de données supplémentaires.